Yazılım geliştirme dünyasında sıkça kullanılan JavaScript kütüphanesi Axios, bir tedarik zinciri saldırısı sonucu tehlikeye girdi. Saldırganlar, Axios'un geliştirici hesaplarından birini ele geçirerek, kötü amaçlı iki sürümünü yayınladı. Bu sürüm, bilgisayarınıza uzaktan erişim sağlayan bir truva atı (RAT) yüklüyor.
Olay, 30 Mart'ta Axios'un önemli geliştiricilerinden birinin npm hesabının ele geçirilmesiyle başladı. Saldırganlar bu hesabı kullanarak, popüler JavaScript HTTP istemci kütüphanesi Axios'un 1.14.1 ve 0.30.4 sürümlerine kötü amaçlı bir kod ekledi. Bu zararlı yazılım, geliştiricilerin kullandığı macOS, Windows ve Linux işletim sistemlerinde gizlice çalışan bir RAT (Remote Access Trojan) yüklüyor.
Axios, npm üzerinde haftada yaklaşık 100 milyon kez indirilen oldukça yaygın bir kütüphane. Bu nedenle, bu saldırının potansiyel etkisi oldukça büyük.
Kötü amaçlı sürümler, paket manifestine gizli bir bağımlılık olarak '[email protected]' adlı bir zararlı yazılım ekledi. Bu yazılım, meşru bir kripto kütüphanesi gibi görünse de, tek amacı bir komuta-kontrol (C2) sunucusuna bağlanarak platforma özgü bir RAT yüklemesi yapmak ve ardından kendi izlerini silmekti.
Saldırganlar, 30 Mart'ta temiz bir 'plain-crypto-js' sürümü yayınlayarak bir yayın geçmişi oluşturduktan sonra, 31 Mart'ta ele geçirdikleri Axios hesabı üzerinden kötü amaçlı sürümleri hızla yayınladı. Bu sürümler, hem modern 1.x hem de eski 0.x Axios sürümlerini kapsayacak şekilde yayımlandı.
Yapılan incelemeler, RAT'ın 'npm install' işlemi başladıktan sadece 1.1 saniye sonra C2 sunucusuyla ilk bağlantıyı kurduğunu gösteriyor. macOS'ta RAT, Apple sistem sürecini taklit eden bir dosyaya kaydedilirken, Windows'ta PowerShell'i kullanarak gizli bir betik çalıştırıyor. Linux'ta ise Python tabanlı bir RAT indiriliyor.
Kötü amaçlı sürümler yaklaşık iki ila üç saat boyunca yayında kaldıktan sonra npm tarafından yayından kaldırıldı ve 'plain-crypto-js' paketi üzerinde güvenlik önlemi alındı. Bu kötü amaçlı sürümlerin Axios'un GitHub deposunda yer almaması, doğrudan npm kayıt defterine yayınlandığını gösteriyor.
Güvenlik firmaları, bu kötü amaçlı paketlerin çalıştığı sistemlerin tamamen ele geçirilmiş kabul edilmesi gerektiğini ve tüm kimlik bilgilerinin derhal değiştirilmesi gerektiğini tavsiye ediyor. Bu olayın, yazılım tedarik zinciri saldırılarının ne kadar tehlikeli olabileceğini bir kez daha gözler önüne serdi.
